COMPANY NEWS 公司新闻
Industry News 行业新闻
深圳网站设计谈验证机制执行缺陷之不安全的证书存储
发布时间:2014/7/19 19:48:58 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
如果应用程序以不安全的方式存储登录证书,那么,即使验证过程本身并不存在缺陷,登录机制的安全也会被削弱。
Web应用程序常常以危险的方式将用户证书存储在数据库中,这包括以文明形式存储密码。但是,即使使用MD5或SH-1等标准算法对密码进行散列处理,攻击者仍然可以再预先计算的散类值数据库中查找到散列。因为应用程序使用的数据库账户必须能够随时读/写这些证书,攻击者可以利用应用程序中的许多漏洞进行访问这些证书,例如,命令、SQL注入漏洞或访问控制漏洞。
分析应用程序中所有与验证有关的功能以及任何与用户维护有关的功能。如果发现任何想客户端返回用户密码的情况,即表明应用程序并未以安全的方式保存密码,或者密码以明文的方式呈现,或应用程序使用了原加密形式保存密码。
如果发现应用程序中存在任何一种任意命令或查询执行漏洞,设法确定应用程序将用户证书保存在数据库或文件系统的什么位置。
深圳网站制作,深圳建站公司,深圳做网站的公司,深圳网站优化,深圳网站设计——深圳市方与圆网络科技有限公司
Web应用程序常常以危险的方式将用户证书存储在数据库中,这包括以文明形式存储密码。但是,即使使用MD5或SH-1等标准算法对密码进行散列处理,攻击者仍然可以再预先计算的散类值数据库中查找到散列。因为应用程序使用的数据库账户必须能够随时读/写这些证书,攻击者可以利用应用程序中的许多漏洞进行访问这些证书,例如,命令、SQL注入漏洞或访问控制漏洞。
分析应用程序中所有与验证有关的功能以及任何与用户维护有关的功能。如果发现任何想客户端返回用户密码的情况,即表明应用程序并未以安全的方式保存密码,或者密码以明文的方式呈现,或应用程序使用了原加密形式保存密码。
如果发现应用程序中存在任何一种任意命令或查询执行漏洞,设法确定应用程序将用户证书保存在数据库或文件系统的什么位置。
深圳网站制作,深圳建站公司,深圳做网站的公司,深圳网站优化,深圳网站设计——深圳市方与圆网络科技有限公司
